LINUX.ORG.RU
решено ФорумAdmin

покритикуйте схему wifi сети

 , ,


1

6

Имеется микротик, который не умеет(как и все микротики) цеплять пользователей в отдельные VLAN'ы на 802.11. Фичреквест висит давно и делать его пока не собираются. Соответственно получается, что сейчас коммуникация внутри wifi сети абсолютно не контролируется и очень бы хотелось изменить эту ситуацию.

Для авторизации конечно выбираем WPA2-Enterprise с RADIUS сервера. Ставим default-forwarding в no, это порежет коммуникацию между клиентами на L2, arp в reply-only, записи в arp таблицу будет добавлять только dhcp сервер. Клиентам раздаем адреса из подсетей /30, у каждого своя подсеть, где только адрес хоста и отдельный адрес гейта. Тогда весь трафик между клиентами будет проходить уже через L3 и мы будем иметь возможность контролировать его через ip firewall(резать коммуникацию, закрывать порты etc). Взять другую подсеть клиент не сможет, так-как гейт не захочет добавлять от клиента записей в arp таблицу. Соответственно arp спуфинг, фейковые dhcp сервера работать так же не будут.

Вроде ничего не упустил? Как-то можно обойти подобную защиту? Через пару дней я конечно протестирую это схему на реальном железе, сейчас нет свободного микротика, что б попробовать.

Да, вы любители тонких извращений. Взять нормальное железо с контроллером не получится? Какой-нибудь Uniquiti для тех кто победнее или цыску для тех кто побогаче.

blind_oracle ★★★★★ ()

Вроде ничего не упустил?

Вроде ничего не забыл. Но зря ты занимаешься велосипедостроительством. У нормальных вендоров уже реализована подобная изоляция и все удобно настраиваемо и оттестированно.

observer ★★★ ()
Ответ на: комментарий от blind_oracle

Да, после переезда в новое помещение(где уже обязательно нужно будет держать несколько AP для полного покрытия) планирую поднять тему о закупке оборудования, это просто временное решение.

local_root ()

В общем идея успешно провалилась. Моя ошибка в том, что default-forwarding режет коммуникацию на L1, т.е. не пропускает пакеты даже из разных подсетей. А если default-forwarding поставить в yes - можно просто добавить себе второй IP адрес из чужой подсети(адрес гейта) и получить себе весь трафик клиента. Сам гейт конечно не добавит себе эту запись в arp таблицу, а клиент вполне. Ставить на клиентах arpon уже слишком затратно, проще таки взять нормальное оборудование.

local_root ()
Ответ на: комментарий от blind_oracle

К стати, а откуда информация что Ubiquiti умеет цеплять беспроводных клиентов в разные VLAN'ы? Я так смотрю, там та же проблема что и у микротика, или я плохо искал. По сути получается нормально разделить доступ внутри одного SSID может только Cisco.

local_root ()
Ответ на: комментарий от local_root

Я может что не понимаю - но зачем это нужно на практике? Свзяь клиентов друг с другом точка и так может блокировать, а всё остальное режется на роутере.

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.